附下载| 45份数据安全国标最全文件

01

基础共性标准为数据分类分级保护制度、标准体系中其他部分标准制定提供基础支撑，包括术语、数据安全参考架构、数据分类分级、数据安全保护四个子类标准，如下图所示。

图：基础共性标准

1.术语

主要规范数据安全相关概念和术语定义，标准的术语定义应与数据安全政策法规的概念描述保持一致。

2.数据安全参考架构

主要描述数据安全的基本要素、安全框架、参考架构、角色模型等相关的标准。

3.数据分类分级

主要规定数据分类分级的规则和方法，给出重要数据识别的指南、目录、细则等。一方面，该类标准需明确数据分6类分级的原则、框架、方法和流程，给出通用的重要数据识别指南，用于指导各行业领域、各地区、各部门、各单位开展数据分类分级工作；另一方面，该类标准可结合不同行业领域重要数据相关标准需求，明确特定行业领域的重要数据识别的指南、目录、细则等相关内容。

4.数据安全保护

在数据分类分级标准的基础上，明确数据安全保护总则，规定一般数据、重要数据、核心数据的基本安全保护要求，建立与保护要求配套的具体措施标准规范。

主要明确数据安全技术及产品的框架、规范和指南，包括数据资源管理技术和产品、数据全生命周期保护技术和产品、数据流通安全技术和产品、数据处理行为安全技术和产品、其他等五个子类标准。由于数据安全技术与网络安全技术存在交叉重合，标准制定时要充分考虑现有网络安全技术产品标准是否可满足相应标准需求。如下图所示。

图：数据安全技术和产品标准

1.数据资源管理技术和产品

主要针对数据资源管理相关的技术、产品和工具，明确敏感数据识别、自动分类分级、数据标签标识、数据资产管理等方面的技术框架、产品规范、测评方法、应用指南等。

2.数据全生命周期保护技术和产品

主要针对数据全生命周期保护相关的技术、产品和工具，明确数据备份、恢复、删除、加密、脱敏等方面的防护技术框架、产品规范、测评方法、应用指南等。

3.数据流通安全技术和产品

主要针对数据跨组织共享、流通的安全技术、产品和工具，明确机密计算、可信执行环境、多方安全计算、联邦学习、数据沙箱、区块链和智能合约、数据空间、水印溯源等数据流通安全的技术框架、产品规范、测评方法、应用指南等。

4.数据处理行为安全技术和产品

主要围绕数据处理异常行为识别、访问控制、态势感知、安全审计等数据处理行为防控技术、产品和工具，明确相关技术指南、产品规范、测评方法等。

5.其他

主要明确数据安全产品分类，及其他数据安全技术和产品相关技术框架、产品规范、测评方法、应用指南等。

数据安全管理标准主要用于明确数据处理活动安全、数据安全管理和运营的要求、方法和指南，包括数据处理活动安全、数据出境安全、数据安全运营、数据安全组织和人员等四个子类，如下图所示。

图：数据安全管理标准

1.数据处理活动安全

主要针对数据收集、存储、使用、加工、传输、提供、公开、删除等全流程数据处理活动，明确数据处理活动安全的要求和指南。

2.数据出境安全

主要围绕数据出境的安全合规需求，明确相关方在数据出境和安全管理方面的要求和指南，也可结合各行业领域数据出境特定需求，明确行业领域数据出境安全保护细则。

3.数据安全运营

主要围绕数据安全运营相关的识别、防护、监测、响应等活动，明确数据安全的监测预警、应急处置、溯源取证等方面的技术指南、安全要求。同时，由于部分网络安全标准涉及数据安全运营内容，该类标准制定时要充分考虑与现有网络安全标准的关系。

4.数据安全组织和人员

主要围绕数据安全组织和人员的管理需求，明确数据安全的组织、负责人、从业人员等方面的管理要求、责任划分和能力建设指南。

数据安全服务标准主要聚焦数据安全检测、评估和认证，以及数据安全规划咨询、建设运维等服务的标准化需求，包括数据安全风险评估、数据安全能力评价、数据安全管理认证、数据安全服务机构、规划咨询与建设运维服务、其他等六个子类，如下图所示。

图：数据安全服务标准

1.数据安全风险评估

主要围绕数据安全风险评估，明确评估的方法、流程、内容和要求等。

2.数据安全能力评价

主要围绕数据安全能力建设和评价需求，明确数据安全能力模型、治理体系、评价指标和方法等。

3.数据安全管理认证

主要针对数据安全管理认证的工作需求，明确认证的依据标准和评价指标。

4.数据安全服务机构

主要结合数据安全服务机构和人员的管理需求，规范数据安全服务机构和人员能力等方面内容。

5.规划咨询与建设运维服务

主要给出数据安全规划咨询与建设运维服务相关规范，如合规风险防控、安全体系设计等规划咨询服务，以及监测预警、应急响应、安全审计等建设运维服务。

6.其他

主要围绕上述类别之外的其他数据安全服务的标准化需求，明确相关服务规范等，如数据安全保险、数据安全托管、数据权益保护等。